使用 X-Frame-Options HTTP 响应头可以设置是否允许网页被 、 或 标签引用,网站可以利用这点避免点击劫持(clickjacking),以确保网页内容不被嵌入到其他网站。
X-Frame-Options 选项介绍
X-Frame-Options 有三个可选值
DENY:不允许其他网页嵌入本网页
SAMEORIGIN:只能是同源域名下的网页
ALLOW-FROM uri:指定可以嵌入的地址
简单来说,设置了 DENY 则任何网页都不能嵌入(包括同一个网站的其他网页),设置了 SAMEORIGIN 则同域名的可以嵌入,指定某个地址可以嵌入使用 ALLOW-FROM uri 。
绝大部分浏览器都支持,IE 则需要 IE8 或以上。一般情况下如果拒绝嵌入,浏览器会返回空白页面(如 Chrome/Firefox),不过也有的会显示错误信息。
如何设置 X-Frame-Options HTTP 响应头
PHPheader(‘X-Frame-Options:SAMEORIGIN’);
ApacheHeader always append X-Frame-Options SAMEORIGIN
nginxadd_header X-Frame-Options SAMEORIGIN;
IIS
…
…
对于 WordPress 博客来说,如果你安装了 WPJAM Basic 插件,那么在「优化设置」> 「功能增强」已经集成了该功能,你只需要按照需求设置即可。
©我爱水煮鱼,本站推荐使用的主机:
本站长期承接 WordPress 优化和建站业务,请联系微信:「chenduopapa」。